Forum Debian Users Gang

Lopus2 · 2015-05-31 16:14:22

Witajcie :)

Czy możecie pokazać mi artykuły opisujące zabezpieczanie maszyny przed:

- Zabezpieczenia anty DDoS (Ochrona przed atakami typu ssdp , snmp , dominate , rap , xns i inne)
- Zabezpieczenia przed atakami z serii layer7 (http flood)
- Instalacja oraz konfiguracja firewalla.

Jacekalex · 2015-05-31 16:26:35

Security level 1 - to się ustawia w konfigu, opcja kern.securelevel w sysctl.

PF - na otwartych portach robisz limity połączeń z jednego Ip, globalnie.
Polecam go zamiast domyślnego IPFW.

Tu masz dokumentację do PF, ma swoje lata, ale nieźle rozjaśnia łepetynę:
http://openbsdpl.sourceforge.net/www/faq/pf/pl/index.html

Na DOS/DDOS zainteresuj się tym przykładem:

table <abusive_hosts> persist
block in quick from <abusive_hosts>

pass in on $ext_if proto tcp to $web_server \
port www flags S/SA keep state \
(max-src-conn 100, max-src-conn-rate 15/5, overload <abusive_hosts> flush)

Sznurek:
http://openbsdpl.sourceforge.net/www/faq/pf/pl/filter.html#stateopts

Zainteresuj się też opcją synproxy.

Ostatnio edytowany przez Jacekalex (2015-05-31 16:33:58)

Yampress · 2015-06-01 11:04:58

zabezpieczenie sewrewa nie kończy sie na postawieniu zapory i ustwawieniu poziomu security kernela...

szujkaj, w intermecie jest trochę poradników o zabezpieczaniu free. Gdybyś jednak chciał zainstalować openbsd tam nic nie będziesz musiał
zabezpieczać. Bo po instalacji system jest już zabezpieczony. wtedy możesz ustawić firewala i kern.securitylevel=2.

securelevel -1 : There's no additional kernel security and many of the normal security features, such as permissions, are functional. Use this level for machines not in production use.
securelevel 0 : When OpenBSD first boots up securelevel 0 is used. If this level is set in your rc.securelevel file securelevel 1 will actually be used when the boot process is finished. There are no added features of securelevel 0.
securelevel 1 : OpenBSD's default securelevel. Writing to /dev/mem and /dev/kmem won't work. Raw disk devices are read-only. Schg and sappnd flags cannot be removed. Kernel modules cannot be loaded or unloaded 'on the fly'.
securelevel 2 : Includes all securelevel 1 features plus: Limited setting of the system clock. pfctl cannot change PF or NAT rules. DDB kernel debugger sysclt values cannot be changed.

Lopus2 · 2015-06-01 11:44:36

a czy na OpenBSD moge bezproblemowo skompilować oraz uruchomić aplikację, których używam na FreeBSD 9.3 32 bit?

Jacekalex · 2015-06-01 16:08:58

To już musisz sprawdzić sam, zwłaszcza, jak chodzi o Metina.

Poza tym OpenBSD nie toleruje żadnych zamkniętych blobów (firmware),
dlatego mogą być z nim jazdy na rozmaitym sprzęcie, na sewerze musisz sprawdzić przede wszystkim, czy interfejs 10Gbit będzie chodził z Openem.

I oczywiście czy OpenBSD jest dostępny, bo z tym różnie bywa w różnych serwerowniach.

Ostatnio edytowany przez Jacekalex (2015-06-01 16:17:31)

Yampress · 2015-06-01 16:35:48

openbsd ma batrdzo wielka baze sterowników kart sieciowych :P

Jacekalex · 2015-06-01 16:38:42

Yampress napisał(-a):
openbsd ma batrdzo wielka baze sterowników kart sieciowych :P

Powiedz to producentom hardwaru, nawet durny Realtek r8111C potrzebuje blobów, gdyby nie polityka intela w zakresie sterów, to w ogóle by była jedna wielka bombonierka na serwerach.

Lopus2 · 2015-06-03 21:10:09

a jeszcze mam takie pytanie apropo OVH
czy ich standardowy pakiet anty ddos jest dobrym wyborem czy radzicie zakupić opcję premium?

Jacekalex · 2015-06-03 21:14:26

Na początek zostaw standardowy, ten drugi możesz zawsze dokupić w razie potrzeby.
Przy czym kalkulując wydatki, lepiej się przygotować na ewentualny koszt tego pakietu pro.

Jak sensownie skonfigurujesz serwer, to standardowy powinien starczyć.
W każdym razie admin serwera nie jest bezbronny pod tym względem.

Lopus2 · 2015-06-04 17:05:29

Rozumiem, zastaosowanie konfiguracji, którą podesłałeś mi w twoim pierwszym poście jest odpowiednie czy powinienem jeszcze pogrzebać?

Jacekalex · 2015-06-04 17:25:57

Lopus2 napisał(-a):
Rozumiem, zastaosowanie konfiguracji, którą podesłałeś mi w twoim pierwszym poście jest odpowiednie czy powinienem jeszcze pogrzebać?

Czy Ty w ogóle czaisz bazę, tzn rozumiesz zasady działania FreeBSD?

Bo żeby administrować systemem, to trzeba albo go dobrze znać, albo przekopać parę tys ton dokumentacji i zdobyć trochę doświadczenia w admince danym systemem, zanim zaczniesz go używać na serwerze produkcyjnym.

Ostatnio edytowany przez Jacekalex (2015-06-04 17:31:49)

Yampress · 2015-06-04 20:49:19

Dziś wszyscy myśklą, że przeczytanie artykułu/dwóch artukułów to już posiadanie umiejętności zarządzania serwerem.
10 tys stron manuali i howto to ja kiedyś miałem w papierze... I to nie wystarczyło aby być doświadczonym administratorem... Bo trzeba jeszcze doświadczenie mieć.

Wiesz, nie myśl ,że jak zainstalujesz FreeBSD to już nikt tego nie rozwali. Sony też tak kiedyś myślało no i ... wyciekło mnóstwo danych.
System jest tak silny jak administrator nim zarządzający. Wprawdzie jest system z którym nic nie trzeba robić po instalacji :P

Lopus2 · 2015-06-04 21:44:13

cóż, nie mówie że po tym będę potrafił lecz każdy z Was kiedys zaczynał, dlatego napisalem tutaj temat i zadaje pytania

bryn1u · 2015-06-18 15:23:09

Odnosnie neta.

Mozesz wrzucic do sysctl.conf

Kod:

net.link.ether.inet.log_arp_movements=0
net.inet6.ip6.accept_rtadv=0
net.inet6.ip6.auto_linklocal=0

security.bsd.see_other_uids=0
security.bsd.see_other_gids=0
security.bsd.hardlink_check_gid=1
security.bsd.hardlink_check_uid=1
security.bsd.unprivileged_read_msgbuf=0
security.bsd.stack_guard_page=1
kern.maxfiles=65536
kern.maxfilesperproc=32768
kern.ipc.nmbclusters=65536
kern.ipc.maxsockets=163840
kern.ipc.somaxconn=1024
net.inet.tcp.msl=7500
net.inet.tcp.syncookies=1
net.inet.tcp.syncookies_only=1
net.inet.tcp.drop_synfin=1
net.inet.tcp.icmp_may_rst=0
net.inet.tcp.blackhole=2
net.inet.udp.blackhole=1
net.inet.icmp.drop_redirect=1
net.inet.ip.random_id=1
net.inet.ip.redirect=0
net.inet.ip.rtexpire=2
net.inet.ip.rtminexpire=2
net.inet.ip.rtmaxcache=256
net.inet6.ip6.redirect=0
net.inet6.ip6.rtexpire=2
net.inet6.ip6.rtminexpire=2
net.inet6.ip6.rtmaxcache=256

Ostatnio edytowany przez bryn1u (2015-06-18 15:24:05)

Forum Debian Users Gang

Ogłoszenie

#1 2015-05-31 16:14:22

Lopus2 - Użytkownik

FreeBSD - zabezpieczenie serwera

#2 2015-05-31 16:26:35

Jacekalex - Podobno człowiek...;)

Re: FreeBSD - zabezpieczenie serwera

#3 2015-06-01 11:04:58

Yampress - Imperator

Re: FreeBSD - zabezpieczenie serwera

#4 2015-06-01 11:44:36

Lopus2 - Użytkownik

Re: FreeBSD - zabezpieczenie serwera

#5 2015-06-01 16:08:58

Jacekalex - Podobno człowiek...;)

Re: FreeBSD - zabezpieczenie serwera

#6 2015-06-01 16:35:48

Yampress - Imperator

Re: FreeBSD - zabezpieczenie serwera

#7 2015-06-01 16:38:42

Jacekalex - Podobno człowiek...;)

Re: FreeBSD - zabezpieczenie serwera

Yampress napisał(-a):

#8 2015-06-03 21:10:09

Lopus2 - Użytkownik

Re: FreeBSD - zabezpieczenie serwera

#9 2015-06-03 21:14:26

Jacekalex - Podobno człowiek...;)

Re: FreeBSD - zabezpieczenie serwera

#10 2015-06-04 17:05:29

Lopus2 - Użytkownik

Re: FreeBSD - zabezpieczenie serwera

#11 2015-06-04 17:25:57

Jacekalex - Podobno człowiek...;)

Re: FreeBSD - zabezpieczenie serwera

Lopus2 napisał(-a):

#12 2015-06-04 20:49:19

Yampress - Imperator

Re: FreeBSD - zabezpieczenie serwera

#13 2015-06-04 21:44:13

Lopus2 - Użytkownik

Re: FreeBSD - zabezpieczenie serwera

#14 2015-06-18 15:23:09

bryn1u - Użytkownik

Re: FreeBSD - zabezpieczenie serwera

Kod:

Stopka forum